Visualisation of a hacker in action.

Der in Hongkong ansässige Stablecoin-Neobroker Infini wurde Opfer eines Exploits, bei dem etwa 50 Millionen Dollar abgeflossen sind. Untersuchungen deuten auf einen abtrünnigen Entwickler als Urheber des Vorfalls hin.

Der Exploit wurde erstmals am 24. Februar um 3:18 Uhr UTC von der Blockchain-Sicherheitsfirma CertiK gemeldet, die unautorisierte Überweisungen von einem mit Infini verknüpften Vertrag auf Ethereum bemerkte.

Der Angreifer verschaffte sich Sonderzugriff auf ein Konto und hob 49,5 Millionen USD Coin (USDC) ab.

Was ist passiert?

In seinem ersten Post-Mortem -Bericht behauptete Cyvers, ein weiteres auf Blockchain-Sicherheit spezialisiertes Unternehmen, dass der Angreifer wahrscheinlich ein Entwickler war, der zuvor an den Smart Contracts von Infini gearbeitet hatte und auch nach Abschluss des Projekts versteckte administrative Privilegien behalten hatte.

Mit diesen Privilegien finanzierte der Entwickler zunächst eine Wallet mit 1 ETH über den Krypto-Mixing-Dienst Tornado Cash, um die Gasgebühren zu decken.

Mit dieser Wallet führten sie einen benutzerdefinierten Vertrag aus – der bereits im November 2024 erstellt wurde – um unbefugten Zugriff auf das System von Infini zu erhalten.

Dies ermöglichte es ihnen, 49,5 Millionen USDC von der Plattform abzuheben.

Anschließend wurde die Beute gegen DAI getauscht, einen Stablecoin, der von den Emittenten nicht eingefroren werden kann, wodurch der Angreifer ein sofortiges Eingreifen verhindern konnte.

Anschließend wurden mit dem DAI 17.696 ETH gekauft, die dann laut Daten des On-Chain-Trackers Lookonchain auf eine neue Wallet übertragen wurden.

Laut einem mittlerweile gelöschten Tweet wurde der Täter vom Infini-Team identifiziert und der Polizei gemeldet, obwohl eine offizielle Stellungnahme des Unternehmens noch aussteht.

Was kommt als Nächstes für Infini-Nutzer?

Infini wurde 2024 gegründet und ist eine Neobank, ein rein digitales Finanzinstitut, das seine Nutzer ohne physische Filialen betreut.

Infini arbeitet ausschließlich online und bietet Dienstleistungen wie Stablecoin-Zahlungen, renditegenerierende Konten und andere kryptofreundliche Angebote an.

Die Plattform gewann schnell an Zugkraft und verzeichnete laut einer Pressemitteilung vom 14. Februar eine monatliche Wachstumsrate von 500 % bei den aktiven Nutzern.

Der jüngste Vorfall hat jedoch einen Schatten auf seine Fortschritte geworfen.

Unmittelbar nachdem Berichte über den Vorfall in den sozialen Medien auftauchten, erklärte Gründer Christian Li, das Unternehmen werde alle betroffenen Nutzer entschädigen, unabhängig vom Ergebnis der derzeit laufenden Bemühungen zur Wiederbeschaffung der Vermögenswerte.

In einem späteren Update erklärte Li, dass 70 % der verlorenen Gelder „Großinvestoren“ gehörten, die alle persönlich kontaktiert und über den Vorfall informiert wurden.

Er schwor, ihre Verluste durch private Vergleiche aus eigenen Mitteln zu decken.

Bezüglich der verbleibenden gestohlenen Gelder versicherte Li den Nutzern, dass diese bis nächsten Montag vollständig in den Infini Vault zurückerstattet würden, um den reibungslosen Fortgang des Betriebs zu gewährleisten.

Er bestätigte außerdem, dass genügend Liquidität bereitgestellt worden sei, um alle Auszahlungsanfragen in diesem Zeitraum zu erfüllen, und forderte die Nutzer zur Ruhe auf.

Li fügte hinzu, dass Infini sich die nötige Zeit nehmen werde, um seine Dienste zu aktualisieren und neu zu starten, wobei die Sicherheit der Gelder vor der Wiederaufnahme des vollen Betriebs Priorität habe.

Zum Zeitpunkt der Veröffentlichung waren Auszahlungen bei Infini weiterhin möglich.

Li fügte hinzu, dass seit dem Angriff über 500.000 Dollar von der Plattform abgehoben wurden.

Eine schlechte Woche für Krypto.

Der Infini-Hack ist nur der jüngste in einer Welle schwerwiegender Sicherheitsverletzungen, die die Kryptowelt erschüttern.

Nur wenige Tage zuvor, am 21. Februar, wurde Bybit Opfer eines der größten Börsenhacks in der Geschichte der Kryptowährungen und verlor über 1,4 Milliarden Dollar.

Die Angreifer, die vermutlich von der nordkoreanischen, staatlich unterstützten Hackergruppe Lazarus gesteuert wurden, nutzten die Logik von Smart Contracts aus, um Gelder aus der Multi-Signatur-Cold-Wallet der Plattform abzuheben.

The post Krypto-Neobank Infini um 50 Millionen Dollar betrogen, verdächtiger Entwickler im Visier appeared first on Invezz